В области обеспечения информационной безопасности дистанционного банковского обслуживания мы, по сути, наблюдаем гонку виртуальных вооружений: в ответ на новые вызовы развиваются средства защиты, которые, уже в свою очередь, атакуются с использованием новых технологий. И так далее по спирали...
Интерес банковского сообщества к дистанционному банковскому обслуживанию продиктован растущим интересом со стороны потребителей услуг. Если до конца ХХ века лозунгом банковского сообщества была надежность, то сейчас клиентов едва ли не в первую очередь интересует быстрый доступ к своим счетам и прочим банковским услугам. Удаленное управление счетами уже стало основной формой взаимодействия с банком для юридических лиц, по крайней мере в крупных городах России. Число частных клиентов банков, пользующихся услугами типа «мобильный банк» или «интернет-банк», также неуклонно растет.
Любопытный факт: в российском законодательстве пока не существует нормативного документа с четкой формулировкой термина «дистанционное банковское обслуживание». Правда, в недавнем федеральном законе «О национальной платежной системе» определен один из элементов ДБО — электронное средство платежа. «ДБО — весьма расплывчатое понятие. Это не технология, не система, а собирательный термин, включающий несколько сильно отличающихся друг от друга услуг и методов их реализации. Поэтому, когда заходит речь о ДБО, ИТ-специалисты обычно обсуждают технологии удаленного доступа, экспертов по ИБ больше интересуют технические средства защиты, специалистов по банковским продуктам заботят выгоды и преимущества ДБО для банка и его клиентов, а юристов — тонкости договоров на обслуживание», — отмечает Игорь Мотылев, ведущий специалист департамента информационной безопасности компании «Кабест», входящей в группу компаний «Астерос».
«Системы ДБО всегда будут привлекать киберпреступников, и полностью избежать рисков мошенничества не удастся, значит, защита этих систем еще многие годы будет оставаться в числе приоритетов для ИБ-сообщества, — уверен Вениамин Левцов, региональный менеджер представительства Trend Micro в России и СНГ. — Кроме того, с системами ДБО связан новый рынок, потенциально достаточно емкий, — рынок гаджетов (токены, генераторы одноразовых паролей) для обеспечения идентификации и аутентификации. Их проникновение в практику ДБО неуклонно растет. Потенциально каждого пользователя надо будет снабдить подобным устройством, а это миллионы устройств со средним сроком жизни в один-два года».
Как отмечает Евгений Модин, руководитель отдела консалтинга компании «Аладдин Р.Д.», информация, циркулирующая в банковских системах, по сути, является реальными деньгами и, к сожалению, всегда находятся желающие получить доступ к чужим деньгам. «В настоящее время только сотрудники ИБ могут противостоять таким попыткам, поэтому все, что может укрепить безопасность данных систем, вызывает интерес у ИБ-сообщества», — считает он.
По мнению Александра Писемского, заместителя генерального директора Group-IB, причина такой сдержанности заключается в отсутствии в России требований к публичным организациям сообщать о произошедших инцидентах. «Такая практика существует за рубежом. Она направлена на защиту акционеров и правильную оценку рисков вложений в компанию. Кстати, поэтому для сокращения этих рисков западные предприятия вынуждены вкладывать деньги как в технические, так и в организационные меры по предотвращению и расследованию инцидентов, — рассказывает Писемский. — Отсутствие публичных заявлений, отказ от сотрудничества с правоохранительными органами, замалчивание и даже отрицание существующих инцидентов приводит к тому, что злоумышленники каждый раз уходят от заслуженной ответственности и продолжают спокойно совершать хищения, абсолютно не опасаясь оказаться за решеткой».
Левцов считает, что решающее слово в обеспечении безопасности систем ДБО должно быть за ЦБ РФ, который, как регулятор, должен на уровне стандарта определить требования к их безопасности и, возможно, выделить рекомендуемые типы архитектуры таких систем. Следующим шагом будет появление российской системы аттестации решений ДБО по требованиям безопасности, включающей техническое тестирование функционала, тест на защищенность и возможность противодействия мошенничеству. Кстати, это поможет снять часть вопросов с самого банка в случае инцидента, если система была аттестована по требованиям регулятора.
Атаки на ДБО
Зафиксированные случаи мошенничества в системах ДБО Писемский относит к первой половине 2008 года. «С тех пор злоумышленники отработали схемы кражи банковских ключей, данных для авторизации и методы «обналички» денежных средств, что дало им возможность поставить эти преступления на поток, — рассказывает он. — За I полугодие 2011 года нами была получена информация о более чем 600 попытках мошеннических операций со счетами юридических и физических лиц в Центральном регионе России, совершенных через ДБО. Ущерб составил более 350 млн руб. Наиболее распространенный сценарий такого преступления состоит из трех основных этапов: получение информации для доступа в систему типа «клиент-банк», проведение мошеннической операции и «обналичка» денег».
Если у мошенника нет физического доступа к авторизационным данным системы ДБО, он использует вредоносную программу. Схема его работы следующая. Пользователь посещает зараженный Web-сайт, с которого на его компьютер загружается вредоносная программа, обходя антивирусную и другие виды защиты. Попав на компьютер, эта программа пытается понять, с какими приложениями работает пользователь. При обнаружении следов работ с системами ДБО или системами электронных денег на компьютер дозагружаются вредоносные модули, предназначенные для кражи авторизационных данных. Все эти данные вместе с сопутствующей информацией (например, о количестве денег на счетах) попадают в руки злоумышленников. При получении данных от «трояна» мошенники проверяют как полученные сведения, так и возможности для кражи денег со счетов. Как только мошенническая операция проведена и платежное поручение отправлено, главная задача хакеров — ограничить доступ легитимного пользователя к системе интернет-банкинга. Для этой цели могут использоваться различные методы: смена пароля от системы ДБО, вывод из строя компьютера пользователя, DDoS-атака на сервер ДБО банка. Чаще всего удаляется один из компонентов операционной системы, и пока клиент пытается восстановить работоспособность своего компьютера, деньги покидают его счет, обналичиваются и попадают в руки преступников.
На теневом рынке существуют свои расценки на подобные услуги. Например, по данным исследования PandaLab, в 2010 году данные кредитной карты стоили от 2 до 90 долл., а спамерские услуги — от 15 долл.
Профиль решений
Евгений Климов, вице-президент Ассоциации профессионалов в области информационной безопасности RISSPA, предлагает разделить вопросы безопасности на несколько аспектов: «Вопрос обеспечения безопасности в данном случае делится на два блока: безопасность банковских систем и клиентского рабочего места. Что касается клиентских рабочих мест, то здесь также можно выделить две составляющие: рабочие места клиентов банка — компаний и физических лиц. С юридическими лицами обычно дела обстоят относительно неплохо, основная проблема заключается в безопасности рабочих мест обычных пользователей — физических лиц, которые распоряжаются своими счетами с домашних компьютеров и в большинстве своем плохо осведомлены о существующих угрозах. Естественно, банк не может за свой счет гарантировать безопасность каждого рабочего места. Тем не менее существует практика предоставления клиентам за дополнительную плату модуля доверенной загрузки».
По мнению Ирины Момчилович, генерального директора компании Rainbow Security, устранить риски в системе ДБО можно тремя способами: контролировать и полностью обезопасить рабочее место пользователя (но это практически невозможно, так как нельзя проконтролировать, с какого компьютера клиент заходит в систему и какими средствами этот компьютер защищен); защитить саму транзакцию (тоже довольно сложно, поскольку атаки типа «человек посередине» широко распространены в системах ДБО: злоумышленник может перехватить канал связи между двумя системами, получить доступ к передаваемой информации и модифицировать ее нужным ему образом); наконец, защищать банковский сервер, на котором работает система ДБО. С одной стороны, защита сервера предполагает внушительный перечень решений, понятных скорее специалистам, чем бизнесу, включающий надежный сетевой экран, VPN, систему защиты от DoS- и DDoS-атак, SQL-инъекций, систему аутентификации пользователей, контроля подозрительных транзакций, обнаружения или предотвращения вторжений IDS/IPS, сканер безопасности и пр. Но это может вызвать негодование финансовых организаций, не готовых вкладывать деньги в чрезмерную «перестраховку». С другой стороны, считает Момчилович, банк несет полную ответственность перед пользователем за все операции и инциденты, происходящие в системе.
Практика расследования мошеннических инцидентов свидетельствует, что в процессе виртуального общения с клиентом банк не в состоянии дать гарантию корректного использования специального ПО на клиентском рабочем месте. Эта проблема очень хорошо известна производителям и поставщикам антивирусного ПО, так как нельзя быть уверенным в том, обновил ли клиент антивирус и не отключил ли его вовсе. По мнению Алексея Демина, управляющего корпоративными продажами компании G Data Software в России и СНГ, мошенничество возможно из-за отсутствия доверительной среды на рабочих местах клиентов, чем, конечно, пользуются преступники. Угроза эта направлена непосредственно на клиентов банка, а значит, является их головной болью.
«Надо просто забыть о том, что банк может согласиться взять на себя неоправданные, с его точки зрения, риски, вызванные незащищенностью клиентских рабочих мест», — полагает Демин. Таким образом, достаточно одной подписи клиента под грамотно прописанной юристами банка строчкой в договоре, и проблема уходит из компетенции ИБ на сторону судебных разбирательств. Очевидно и другое: превосходство в этой борьбе за правду будет заведомо на стороне юристов банка, имеющих больше практики в подобных вопросах.
А интернет-банкинг — не «голый»!
Пока не существует официального определения ДБО, каждый банк в договоре с клиентом вынужден сам описывать, что именно он под этим понимает. От того, насколько полно и грамотно составлен этого документ, зависят последствия при возникновении инцидентов. Например, типовой договор Банка Америки занимает около 60 страниц и описывает практически все возможные случаи и распределение ответственности между сторонами.
«Не соглашусь с мнением, что ответственность легко перекладывается на клиента. Недавно принятый Федеральный закон № 161 «О национальной платежной системе» именно на операторов возлагает обязанность по защите информации при переводе денежных средств, а при оспаривании операции обязывает оператора возместить клиенту сумму понесенного им убытка. Разумеется, всегда и во всем перекладывать проблему на операторов нельзя, поэтому в том же законе описаны условия правомерного отказа от возмещения ущерба», — считает Мотылев.
Сергей Грудинов, заместитель генерального директора по правовым вопросам компании Group-IB, тоже придерживается мнения, что в данном случае не вполне корректно говорить о том, что все решается в юридической плоскости: «Банки при заключении договора указывают ряд требований, которые должны соблюдать клиенты, а также направляют им перечень необходимых мер, но в целом они носят рекомендательный характер. Никто никого обязать не может, поэтому ответственность закономерно ложится и на клиента. Как показывает наша практика расследований мошенничеств в системах ДБО, зачастую клиенты грубо пренебрегают этими рекомендациями, руководствуясь целью сэкономить и надеясь на авось. В итоге банки вынуждены включать в договоры пункты, которые защитят их от необоснованных претензий клиентов, не обеспечивших нужный уровень защиты. За более чем восьмилетнюю практику мне не приходилось сталкиваться со случаями, когда пострадавшая сторона получала компенсацию от банка в судебном порядке».
Тем не менее кому-то удавалось в судебном порядке или в формате досудебных разбирательств получить компенсацию своих потерь у банка в результате действий злоумышленников. Правда, по мнению Андре Росса, старшего менеджера по судебным технологиям компании PwC, это дорогое удовольствие: «Для этого необходимо привлекать компьютерных криминалистов. Действительно знающих экспертов в этой области в России можно буквально по пальцам пересчитать. Чтобы доказать уязвимость системы ДБО, часто бывает необходима экспертиза вредоносной программы. Специалистов, способных ее провести, еще меньше, чем грамотных компьютерных криминалистов».
В зарубежной практике ответственность клиента не может превышать определенного уровня, выраженного в денежном эквиваленте, следовательно, банку в полной мере приходится управлять существующими рисками. Если такая же практика будет внедрена в России, считает Модин, то банкам, видимо, больше внимания придется уделять вопросам защиты своих клиентов. Эта позиция особенно интересна в свете все большей интеграции России в мировое экономическое сообщество. Что тогда ожидает российские банки и как им тогда придется соответствовать этим требованиям?
«Нельзя однозначно утверждать, что интернет-банкинг в России — «голый король». Документы по безопасности систем ДБО в нашей стране существуют. ЦБ РФ и сами банки регулярно разрабатывают и распространяют инструкции рекомендательного характера, в которых подробно описаны меры по обеспечению безопасности систем «клиент-банк». Но вот жесткие требования со стороны государственных регуляторов, к сожалению, пока отсутствуют, — говорит Грудинов. — В контексте интеграции с мировым экономическим сообществом важно, чтобы инициативы, исходящие от регуляторов, предусматривали соблюдение высокого уровня защиты со стороны не только банков, но и их клиентов. Это поможет избежать усиления уже существующей ситуации, когда банки на своей стороне системы выстраивают «глубокоэшелонированную оборону», а клиентская часть информационной защиты ДБО в большинстве известных нам случаев представляет собой «проходной двор» для злоумышленников».
Впрочем, неудачное законотворчество может привести к новым проблемам. Отзывы экспертов о законодательной практике, предписывающей банкам нести ответственность за безопасность на стороне клиента, привели к тому, что, в частности, в Великобритании клиенты отказывались приобретать какие-либо средства ИБ, так как полагали, что по закону банк должен сам защищать их от злоумышленников. Демин считает, что требования регуляторов в вопросах информационной безопасности как раз угрожают этой самой безопасности: «Любые требования — суть ограничения, уменьшающие свободу маневра в процессе защиты информации. Передовые средства защиты просто нельзя использовать по закону. Преступники для повышения квалификации тоже знакомятся с этими требованиями. Регуляторам надо сто раз отмерить, прежде чем определять ограничительные меры».